Il browser Internet Explorer è di nuovo da alcuni giorni sotto il mirino per un bug di sicurezza che “affligge” tutte le versioni attualmente in circolazione.
Il Gopher è un protocollo di rete sviluppato presso l’Università del Minnesota, negli Stati Uniti, nel lontano 1990. Gopher permette di ottenere, in modo gerarchico, l’elenco delle directory e dei file presenti sul server. Questo protocollo, che appartiene agli albori della Rete Internet, è stato poi abbandonato con lo sviluppo dell’HTTP e del World Wide Web.
Tuttavia, Internet Explorer offre ancora oggi il supporto per il Gopher: un utente remoto può usare questa caratteristica per eseguire codice arbitrario sulla macchina di un utente.
Un programma di test che fa uso di questa vulnerabilità è già stato sviluppato e permette di eseguire codice arbitrario su una macchina collegata ad Internet e sulla quale sia installata una qualsiasi versione di Internet Explorer (versioni 5.5 e 6.0 comprese).
Vi sarebbero poi molti altri prodotti server Microsoft che supportano Gopher e che risultano altrettanto vulnerabili.
Per verificare se il vostro browser è soggetto alla vulnerabilità Gopher cliccate qui: se si apre una finestra contenente un file di testo il vostro browser non è sicuro.
Microsoft sta lavorando attualmente ad una patch risolutiva (dopo aver confermato l’esistenza del problema con questo bollettino di sicurezza); per adesso vi consigliamo di usare il programma Gopher Smoker scaricabile gratuitamente da qui. Eseguendolo vi metterete al riparo da possibili problemi disabilitando il Gopher.
Per maggiori informazioni su questa vulnerabilità fate riferimento a questa pagina (in inglese).